Lei Geral de Proteção de Dados Pessoais - LGPD

A Lei Federal nº. 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) – encontra-se regulamentada pelo Decreto Municipal nº. 3.793/2021, que instituiu a política de proteção de dados pessoais no âmbito do Poder Executivo municipal.

Política de Proteção de Dados Pessoais– Decreto 3.793/2021.

Lei Federal nº 13.709/2018 –LGPD

Autoridade Nacional de Proteção de Dados - ANPD


Encarregado: Marcos Valério Baptista de Souza – Mat. 964558

Tel.: (28) 3546-1188 – ramal 236

e-mail: controladoria@vendanova.es.gov.br

Conhecendo a LGPD

1. Introdução

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n° 13.709/2018, foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. A Lei fala sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado, englobando um amplo conjunto de operações que podem ocorrer em meios manuais ou digitais.

No âmbito da LGPD, o tratamento dos dados pessoais pode ser realizado por dois agentes de tratamento, o Controlador e o Operador. Além deles, há a figura do Encarregado, que é a pessoa indicada pelo Controlador para atuar como canal de comunicação entre o Controlador, o Operador, os(as) titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Tema fundamental trabalhado pela Lei, o tratamento de dados diz respeito a qualquer atividade que utiliza um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Antes de iniciar qualquer tipo de tratamento de dados pessoais, o agente deve se certificar que a finalidade da operação está registrada de forma clara e explícita e os propósitos especificados e informados ao(à) titular dos dados. No caso do setor público, a principal finalidade do tratamento está relacionada à execução de políticas públicas, devidamente previstas em lei, regulamentos ou respaldadas em contratos, convênios ou instrumentos semelhantes.

O compartilhamento dentro da administração pública, no âmbito da execução de políticas públicas, é previsto na Lei e dispensa o consentimento específico. Contudo, o órgão que coleta deve informar com transparência qual dado será compartilhado e com quem. Do outro lado, o órgão que solicita receber o compartilhamento precisa justificar esse acesso com base na execução de uma política pública específica e claramente determinada, descrevendo o motivo da solicitação de acesso e o uso que será feito com os dados. Informações protegidas por sigilo seguem protegidas e sujeitas a normativos e regras específicas. Essas e outras questões fundamentais devem ser observadas pelos órgãos e entidades da administração federal no sentido de assegurar a conformidade do tratamento de dados pessoais de acordo com as hipóteses legais e princípios da LGPD.

A Lei estabelece uma estrutura legal de direitos dos(as) titulares de dados pessoais. Esses direitos devem ser garantidos durante toda a existência do tratamento dos dados pessoais realizado pelo órgão ou entidade. Para o exercício dos direitos dos(as) titulares, a LGPD prevê um conjunto de ferramentas que aprofundam obrigações de transparência ativa e passiva, e criam meios processuais para mobilizar a Administração Pública.

 

2. Classificação dos Dados Pessoais

Dados Pessoais: O dado pessoal é aquele que possibilita a identificação, direta ou indireta, da pessoa natural. São exemplos de dados pessoais: nome e sobrenome, data e local de nascimento, RG, CPF, retrato em fotografia, endereço residencial, endereço de e-mail, número de cartão bancário, renda, histórico de pagamentos, hábitos de consumo, dados de localização, como por exemplo, a função de dados de localização no celular, endereço de IP (protocolo de internet), testemunhos de conexão (cookies) e número de telefone.

Dados Sensíveis: Dentre os dados pessoais, há aqueles que exigem maior atenção no tratamento: aqueles relacionados a crianças e adolescentes; e os “sensíveis”, que são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.

 

3. Consentimento

Consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, sendo uma regra que deverá ser observada pelo operador antes de realizar o tratamento dos dados pessoais.

3.1. Exceções (art. 7º da LGPD):

I - para o cumprimento de obrigação legal ou regulatória pelo controlador;

II - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

III - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

IV - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

V - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

VI - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;  

VIII - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

IX - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

  

3.2. Consentimento Quando se Tratar de Dados Sensíveis 

Sobre os dados sensíveis, o tratamento depende do consentimento explícito do(a) titular dos dados e para um fim definido. E, sem esse consentimento do(a) titular, a LGPD define que somente será possível, quando a informação for indispensável em situações relacionadas a uma obrigação legal; a políticas públicas; a estudos via órgão de pesquisa; ao exercício regular de direitos; à preservação da vida e da integridade física de uma pessoa; à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária; à prevenção de fraudes contra o(a) titular.

3.3. Consentimento Quando se Tratar de Dados de Titulares Menores de Idade

Quando o dado corresponder a menores de idade, é imprescindível obter o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal e se limitar a pedir apenas o conteúdo estritamente necessário, sem repasse a terceiros.

Poderão ser coletados dados pessoais de menores sem o consentimento, apenas, quando a coleta for necessária para contatar os pais ou o(a) responsável legal, podendo ser utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiros sem o consentimento dado por pelo menos um dos pais ou pelo(a) responsável legal.

4. Dados Públicos

O tratamento de dados pessoais públicos deve considerar a finalidade, a boa-fé e o interesse público que justificaram a sua disponibilização. A LGPD define que uma organização pode, sem precisar pedir novo consentimento, tratar dados tornados públicos pelo(a) titular em momento anterior e de forma evidente. Porém, se a organização quiser compartilhar esses dados com outras organizações, necessariamente ela deverá pedir outro consentimento para esse fim - resguardadas as hipóteses de dispensa previstas na Lei.

 

É importante destacar que a LGPD também se relaciona com a Lei de Acesso à Informação (LAI), Lei nº 12.527/11, e com princípios constitucionais, a exemplo do inciso XXXIII, do artigo 5º: “todos têm direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado”.

 

5. Direitos do Titular dos Dados Pessoais

O que significa ser titular de dados pessoais e quais são os seus direitos?

Nos termos do art. 17 da Lei Geral de Proteção de Dados Pessoais, toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade.

O(A) titular de dados é toda pessoa natural a quem se referem os dados que são objeto de tratamento.  Conforme o art. 18 da LGPD, ao(à) titular estão garantidos os direitos de:

 

  • confirmação da existência de tratamento;
  • acesso aos dados;
  • correção de dados incompletos, inexatos ou desatualizados;
  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
  • portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da Autoridade Nacional, observados os segredos comercial e industrial;
  • eliminação dos dados pessoais tratados com o consentimento do(a) titular, exceto nas hipóteses previstas no art. 16 da Lei;
  • informação das entidades públicas e privadas com as quais o Controlador realizou uso compartilhado de dados;
  • informação sobre a possibilidade de não fornecer consentimento e sobre consequências da negativa;
  • revogação do consentimento, nos termos do § 5.º do art. 8.º da Lei.

 

6. Princípios da Proteção da LGPD

 

Conheça os princípios que estruturam a Lei Geral de Proteção de Dados.

As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

Finalidade: a realização do tratamento deve ocorrer para propósitos legítimos, específicos, explícitos e informados ao(à) titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

Adequação: a compatibilidade do tratamento deve ocorrer conforme as finalidades informadas ao(à) titular, de acordo com o contexto do tratamento;

Necessidade: o tratamento deve se limitar à realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

Livre acesso: é a garantia dada aos(às) titulares de consulta livre, de forma facilitada e gratuita, à forma e à duração do tratamento, bem como à integralidade de seus dados pessoais;

Qualidade dos dados: é a garantia dada aos(às) titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

Transparência: é a garantia dada aos(às) titulares de que terão informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

Segurança: trata-se da utilização de medidas técnicas e administrativas qualificadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Prevenção: compreende a adoção de medidas para prevenir a ocorrência de danos por causa do tratamento de dados pessoais;

Não discriminação: sustenta que o tratamento dos dados não pode ser realizado para fins discriminatórios, ilícitos ou abusivos;

Responsabilização e prestação de contas: demonstração, pelo Controlador ou pelo Operador, de todas as medidas eficazes e capazes de comprovar o cumprimento da lei e a eficácia das medidas aplicadas.

Fonte: Ministério da Economia (https://www.gov.br/cidadania/pt-br/acesso-a-informacao/lgpd) obs. Com algumas adaptações.